|
 |
IBM Caching ProxyにおけるSSLトンネリング設定に関する脆弱性
|
|
|
【現象】
下記のバージョンに該当するCaching Proxyは、デフォルトでSSLトンネリングが利用できる設定となっており、他のサーバーへの不正アクセス等を試みる見知らぬユーザーによって踏み台サーバーにされることがあります。最新バージョンのCaching
Proxyはデフォルト設定が変更され、SSLトンネリングの脆弱性から保護されます。さらにすべてのプロトコルをトンネリングするCONNECTメソッドについて細かな制御が可能になり、SSLトンネリングを利用する環境でも十分なセキュリティーを保つ構成ができるようになりました。
|
【対象製品】
下記の製品パッケージに含まれるIBM Caching Proxyをご使用で、IBM Caching
Proxyのバージョンが下記に該当する場合:
| 製品パッケージ |
IBM Caching Proxy
バージョン |
| Edge Server V2.0 |
V4.0.2.32 未満 |
| WebSphere Application Server V5.0.x Network Deployment |
V5.0.2.11 未満 |
| WebSphere Application Server V5.1 Network Deployment |
V5.1.0.0 |
|
|
【確認方法】
Caching Proxyのバージョン確認方法
- AIXの場合
lslpp -l | grep wses コマンドで確認します。以下のように表示されます。
wses_cp.base 5.1.0.5 COMMITTED Caching Proxy
- Linuxの場合
rpm -qa | grep WSES コマンドで確認します。以下のように表示されます。
WSES_CachingProxy-5.0.0-0
- Windowsの場合
レジストリの値からバージョンを確認します。
レジストリエディタを起動([スタート]-[ファイル名を指定して実行]で「regedit」と入力)し、以下のキーを選択します。
HKEY_LOCAL_MACHINE\SOFTWARE\IBM\WSES-CachingProxy\CurrentVersion
画面の右側に表示される、以下のようなエントリーの値を確認します。
MajorVersion 0x00000004(4)
MinorVersion 0x00000000(0)
PatchLevel 0x00000021(33)
上記の場合、Caching Proxyのバージョンが4.0.33であることを表します。
- Solarisの場合
下記コマンドで確認します。ここで#はメジャーバージョン番号を表します。
pkginfo | grep WSES
pkginfo -L WSEScp.#
- HP-UXの場合
swlist | grep WSES コマンドで確認します。
|
【対応方法】
リバース・プロキシ構成の場合
リバース・プロキシ構成の場合、上記のレベルの修正プログラムを適用後は、SSLトンネリング、CONNECTメソッドは使用不可にされており、構成ファイルを変更する必要はありません。修正プログラムの入手は、下記お問合せ先に記載されていますPAテクニカルサポート総合窓口までお問い合わせください。
フォワード・プロキシ構成の場合
上記のレベルの修正プログラムを適用後、フォワード・プロキシ構成でSSLトンネリングとCONNECTメソッドをサポートするには、追加構成を実施する必要があります。修正プログラムの入手は、下記【お問合せ先】に記載されていますPAテクニカルサポート総合窓口までお問い合わせください。
SSLトンネリングをサポートするには、SSLTunnelingディレクティブをonにし、CONNECTメソッドを利用可能にする必要があります。以下の3つのオプション(OutgoingPorts,
OutgoingIPs, ImcommingIPs)が、SSLトンネリングのセキュリティー向上のため、Enable
CONNECTディレクティブに追加されました。セキュリティーを確保するため、SSLトンネリングの利用に際して、少なくともOutGoingPortsオプションの値を定義することをお勧めします。
- OutgoingPorts (SSLトンネリングのためのアクセスを、リモートサーバのポートで制限する)
OutgoingPorts [all | [port1|port1-port2|port1-*],...]
例1:
SSLトンネリングの接続先として、リモートサーバの443ポートのみへのクライアント接続を許可する場合は、以下のディレクティブを設定します。
|
Enable CONNECT OutgoingPorts 443 |
| SSLTunneling on |
例2:
SSLトンネリングの接続先として、リモートサーバのすべてのポートに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。
|
Enable CONNECT OutgoingPorts all |
| SSLTunneling on |
例3:
SSLトンネリングの接続先として、リモートサーバの80ポート、8080-8088ポート、9000以上のすべてのポートに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。
|
Enable CONNECT OutgoingPorts 80,8080-8088,9000-* |
| SSLTunneling on |
注意
- フォワード・プロキシで、通常のSSLトンネリングを構成する場合、少なくともOutgoingPortsに、443かallの設定を行ってください。
- 複数のポート、ポート範囲をリストに指定する場合は、スペースを入れずにコンマで区切ります。
- OutgoingIPs (SSLトンネリングの為のアクセスを、リモートサーバのIPアドレスで制限する)
OutgoingIPs [[!]IP_pattern,...]
例:
IPとhost名が *.ibm.comに一致し、192.168.*.* に一致しないサーバーの全てのポートへに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。
|
Enable CONNECT OutgoingPorts all OutgoingIPs *.ibm.com,!192.168.*.* |
| SSLTunneling on |
注意
- IP_patternを複数指定する場合は、スペースを入れずにコンマで区切ります。
- IncomingIPs (SSLトンネリングのためのアクセスを、クライアントIPアドレスで制限する)
IncomingIPs [[!]IP_Pattern,...]
例:
クライアントIPアドレスが 192.168.*.* から、リモートサーバの全てのポートに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。
|
Enable CONNECT OutgoingPorts all IncomingIPs 192.168.*.* |
| SSLTunneling on |
注意
- 192.168.*.* をイントラネットのIPマスクとした場合、上記構成ではイントラ側からの接続のみにSSLトンネリングの為のCONNECTメソッドが許可されます。
- IP_patternを複数指定する場合は、スペースを入れずにコンマで区切ります。
|
【お問合せ先】
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
| 電話 |
:0120-557-971 |
| 受付時間 |
:月〜金 9:00〜17:00(祝日、12/30〜1/3を除く) |
|
【参考情報】
|
|
|
|
|
|
